W okresie wakacyjnym głośno było o wchodzącej właśnie w życie ustawie z dnia 18 września 2001 roku o podpisie elektronicznym. Uchwalona w atmosferze emocji i szeregu sporów, zarówno technicznych, jak i prawnych, ustawa obowiązuje od 16 sierpnia bieżącego roku. Jak się jednak okazuje, dla przeciętnego Kowalskiego, nawet zakładając, iż jest on średnio wykształconym, aktywnym „internautą”, techniczny mechanizm składania podpisu elektronicznego jest trudny do zrozumienia. Problemy mogą się również pojawić z pojęciem znaczenia prawnego podpisu elektronicznego w Polsce. Szczególnie, że – wbrew mylącej nazwie omawianej ustawy, w obowiązującym stanie prawnym, nie istnieje jeden, jednolity podpis elektroniczny. Należałoby więc mówić nie o podpisie elektronicznym a raczej o podpisach elektronicznych.
Dwa klucze, jeden zamek
Mechanizm podpisu elektronicznego opiera się na tzw.
asymetrycznych technikach kodowania. Polega to na użyciu do podpisywania
dokumentów dwóch różnych, jednak matematycznie ze sobą powiązanych, kluczy
szyfrujących. Obrazowo rzecz ujmując system ten przypomina zamek do drzwi, do
którego pasują dwa klucze, z tym, że jeden klucz potrafi ten zamek tylko
otworzyć, a drugi tylko zamknąć. Osoba, która chce podpisać cyfrowo dokument
(nadawca), robi to używając tzw. klucza prywatnego (zgodnie z definicją polskiej
ustawy są to „dane służące do składania podpisu elektronicznego”), który jest
wyłącznie w jej posiadaniu. Otrzymawszy tak sygnowany dokument, odbiorca może
sprawdzić jego autentyczność (tj. po pierwsze czy dokument rzeczywiście pochodzi
od nadawcy, a nie kogoś innego, a po drugie czy „po drodze” ktoś nie dokonał w
nim zmian) za pomocą drugiego klucza nadawcy – tzw. klucza publicznego („dane
służące do weryfikacji podpisu elektronicznego”). Jak sama nazwa wskazuje, ten
drugi klucz jest jawny i może być udostępniany osobom trzecim (odbiorcy). Może
być więc np. załączony w mailu – obok sygnowanego kluczem prywatnym dokumentu,
lub dostępny on-line na stronie www. Opisywany mechanizm ma jedną wadę.
Potencjalnie tak podpisany dokument może odczytać każdy. Wyjściem z tej sytuacji
jest zaszyfrowanie go z użyciem z kolei klucza publicznego odbiorcy. Wtedy tylko
on – jako jedyny posiadacz odpowiadającego mu klucza prywatnego, będzie potrafił
odszyfrować dokument, którego jest adresatem, a potem – za pomocą tym razem
klucza publicznego nadawcy – zweryfikować jego autentyczność.
Do nadawania wspomnianych pary
kluczy, umożliwiających wystawianie i weryfikację sygnatur cyfrowych, uprawnione
są w świetle polskiej ustawy swoiste instytucje zaufania publicznego, tzw.
„podmioty świadczące usługi certyfikacyjne”, popularnie zwane też. centrami
certyfikacyjnymi, których funkcja jest podobna do notariusza. Podmioty
certyfikujące nadając odpowiednie certyfikaty, zawierające klucz publiczny
nadawcy muszą je z kolei podpisać swoim własnym kluczem prywatnym (żeby było z
kolei wiadomo, że certyfikat pochodzi od zaufanego podmiotu, a nie kogoś
innego). Dzięki temu odbiorca elektronicznie sygnowanej korespondencji za pomocą
załączonego do niej certyfikatu (w którym zawiera się klucz publiczny nadawcy)
może zweryfikować autentyczność dokumentu, w tym jego nadawcę. Równocześnie,
jako, że sam certyfikat jest podpisany z kolei własnym kluczem prywatnym organu
certyfikującego („poświadczony elektroniczne”), odbiorca może sprawdzić, też czy
sam certyfikat jest autentyczny i został nadany przez odpowiedni uprawniony
(„zaufany”) podmiot. Oczywiście sprawdzenie to odbywa się za pomocą
ogólnodostępnego klucza publicznego organu certyfikującego („zaświadczenia
certyfikacyjnego”). Obydwa klucze (poświadczenie elektroniczne i zaświadczenie
certyfikacyjne) wydawane są przez niejako nadrzędny organ certyfikacyjny (tzw,
root – ang. główny, podstawowy w hierarchii) w osobie ministra właściwego
do spraw gospodarki. On też, jako instytucja najwyższa w hierarchii klucza
publicznego (root) nie musi być już uwiarygodniany przez kolejny
„zaufany” podmiot gdyż może niejako sam siebie poświadczać elektronicznie.
Minister Gospodarki, który jest
naczelnym organem w hierarchii polskiego klucza publicznego, może zlecić część
swych zadań w zakresie wytwarzania i wydawania innym podmiotom zaświadczeń
certyfikacyjnych i publikowania listy podmiotów wpisanych do rejestru
kwalifikowanych podmiotów świadczących usługi certyfikacyjne, bądź to – w trybie
ustawy o zamówieniach publicznych – wybranemu podmiotowi świadczącemu usługi
certyfikacyjne, bądź to – na wniosek Prezesa NBP – Narodowemu Bankowi Polskiemu
lub podmiotowi od niego zależnemu. Jeżeli taki podmiot zostanie root-em,
nie może on już świadczyć certyfikacyjnych usług „powszechnych” – tj.
polegających na wydawaniu certyfikatów, może jedynie udzielać zaświadczeń
certyfikacyjnym innym podmiotom świadczącym usługi certyfikacyjne
(„powszechne”), polegające na wydawaniu certyfikatów (osobom fizycznym, prawnym,
itp., które chcą składać weryfikowane przy pomocy takich kwalifikowanych
certyfikatów bezpieczne podpisy elektroniczne). Obecnie funkcję roota
pełni spółka Centrast, która jest zależna od NBP. Ona, też jest odpowiedzialna
za wydawanie na rzecz podmiotów świadczących usługi certyfikacyjne odpowiednich
zaświadczeń certyfikacyjnych, które są wykorzystywane
KONTEKSTY:
#REF!